Datos sobre millones de huéspedes de hoteles expuestos a una fuga de almacenamiento en la nube


El caché de datos que se encuentra completamente abierto en un servidor incluía nombres completos, números de identificación nacional y datos de tarjetas de crédito.

Se ha descubierto una amplia gama de información confidencial de millones de huéspedes del hotel en un servidor no seguro y accesible para que cualquiera la vea. Los datos se almacenaron en un bucket de Amazon Net Companies (AWS) S3 mal configurado que pertenece a Prestige Software program, una empresa con sede en España que vende computer software de gestión de reservas de hoteles.

La fuga, informada por Planeta del sitio internet, originado a partir del software program de gestión de canales Cloud Hospitality de la empresa española, que los hoteles utilizan para automatizar el estado de sus vacantes en varios sitios world-wide-web de reservas. Dado que la plataforma se utiliza para conectarse con los sitios net de reservas, algunos de los datos provienen de agencias de viajes en línea populares, como Expedia, Booking.com y Agoda, aunque no se les puede culpar por la exposición de los datos.

LECTURA RELACIONADA: Cinco consejos para mantener segura su foundation de datos

Los datos comprendían más de 10 millones de archivos de registro, incluida información que se remonta a 2013. El tesoro escondido consistía en una variedad de información de identificación own (PII), como los nombres completos de los huéspedes, números de identificación nacional, direcciones de correo electrónico, números de teléfono, así como detalles como el número de reserva, fechas, número de invitados y sus nombres y el precio pagado. Además, el grupo S3 también contenía datos financieros valiosos como números de tarjetas de crédito, el nombre del titular de la tarjeta, códigos de verificación de la tarjeta de crédito (CVV) y fecha de vencimiento.

Site World también confirmó la veracidad de los datos al verificar que una muestra de las direcciones de correo electrónico filtradas pertenecían a personas reales. Si bien actualmente no hay evidencia de que ningún actor de amenazas haya obtenido acceso a los datos, los investigadores no pueden garantizar que no se haya accedido a los datos antes de descubrir el servidor mal configurado. Los investigadores también se pusieron en contacto con AWS y desde entonces se ha asegurado el depósito.

La cantidad y variedad de registros expuestos proporcionaría a los piratas informáticos una gran cantidad de material para todo tipo de actividad maliciosa. Los huéspedes del lodge podrían ser víctimas de el robo de identidad, suplantación de identidad y otros ataques de ingeniería social, e incluso fraude financiero, debido a la filtración de datos de tarjetas de crédito. Sin embargo, los sombreros negros no tienen que abusar de los datos por sí mismos en cambio, podrían venderlo en la website oscura al por mayor.

LECTURA RELACIONADA: Detalles de 142 millones de huéspedes del resort MGM que se venden por US $ 2.900

Empresas que tienen problemas leyes de protección de datos, en specific la Unión Europea Reglamento common de protección de datos (GDPR), puede enfrentar graves consecuencias por fallas de privacidad y seguridad.





Enlace a la noticia original